漏洞标题
N/A
漏洞描述信息
uws是一个WebSocket服务器库。通过将一个256mb的WebSocket消息发送到一个具有按消息deflate的功能的uws服务器实例,有可能存在使用压缩将上述256mb压缩到小于16mb的WebSocketpayload中,且该payload的长度通过了16mb payload的长度检查。然后,这些数据将膨胀到256mb,并通过超过V8的最大字符串大小而崩溃节点进程。这会影响uws >=0.10.0 <=0.10.8。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
uws is a WebSocket server library. By sending a 256mb websocket message to a uws server instance with permessage-deflate enabled, there is a possibility used compression will shrink said 256mb down to less than 16mb of websocket payload which passes the length check of 16mb payload. This data will then inflate up to 256mb and crash the node process by exceeding V8's maximum string size. This affects uws >=0.10.0 <=0.10.8.
CVSS信息
N/A
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
uws 安全漏洞
漏洞描述信息
uws是一个用于客户端和服务器的WebSocket和HTTP实现。 uws 0.10.0版本至0.10.8版本中存在安全漏洞,该漏洞源于在permessage-deflate被打开时,程序没有正确的处理较大的Websocket消息。攻击者可利用该漏洞造成拒绝服务(节点进程崩溃)。
CVSS信息
N/A
漏洞类别
输入验证错误